在可能的情况下,虚拟应用程序安装 (Virtual Application Installation, OVF) 具有默认强化配置。用户可以通过检查配置文件的全局选项部分的服务器和客户端服务,验证其配置是否经过适当的强化。

关于此任务

如果可能,请在 /etc/hosts.allow 文件中仅限 SSH 服务器用于管理子网。

过程

  1. 打开 /etc/ssh/sshd_config 服务器配置文件,验证设置是否正确。

    设置

    状态

    服务器守护程序协议

    Protocol 2

    密码

    Ciphers aes256-ctr,aes128-ctr

    TCP 转发

    AllowTCPForwarding no

    服务器网关端口

    Gateway Ports no

    X11 转发

    X11Forwarding no

    SSH 服务

    使用 AllowGroups 字段指定一个组,该组有权访问辅助组以及向其中添加成员,辅助组的成员是有权使用该服务的用户。

    GSSAPI 身份验证

    GSSAPIAuthentication no(如果未使用)

    Kerberos 身份验证

    KerberosAuthentication no(如果未使用)

    本地变量(AcceptEnv 全局选项)

    设置为 disabled by commenting outenabled for only LC_* or LANG variables

    隧道配置

    PermitTunnel no

    网络会话

    MaxSessions 1

    严格模式检查

    Strict Modes yes

    权限分离

    UsePrivilegeSeparation yes

    rhosts RSA 身份验证

    RhostsRSAAuthentication no

    压缩

    Compression delayed 或 Compression no

    消息身份验证代码

    MACs hmac-sha1

    用户访问限制

    PermitUserEnvironment no

  2. 保存更改并关闭文件。